Zo informeert u slachtoffers over een datalek

Zijn de risico’s van een datalek hoog? Dan moet u de slachtoffers zo snel mogelijk informeren. Zo zorgt u ervoor dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En dat zij weten wat zij kunnen doen om zichzelf te beschermen. U informeert de slachtoffers met een waarschuwingsbericht. Bijvoorbeeld een e-mail. 

Ieder datalek is anders en vraagt om een andere aanpak. Op deze pagina vindt u 8 aanbevelingen met voorbeeldteksten. Deze helpen u op weg.

Let op: Het is uw verantwoordelijkheid om een duidelijk waarschuwingsbericht op te stellen. En om het bericht af te stemmen op uw specifieke situatie. U bent dit ook wettelijk verplicht.

Waarom is een duidelijk waarschuwingsbericht belangrijk?

Een datalek kan heel schadelijke gevolgen hebben voor de mensen van wie de gegevens zijn:

  • Zijn er contactgegevens gelekt? Dan zijn slachtoffers kwetsbaar voor phishing. Een phishingbericht lijkt van uw organisatie afkomstig, maar is een poging van criminelen om uw klanten of contacten op te lichten.
  • Zijn er wachtwoorden gelekt? Dan kunnen criminelen niet alleen inloggen op de accounts van slachtoffers, maar ook op andere websites als mensen daar hetzelfde wachtwoord gebruiken.
  • Zijn er kopieën van identiteitsbewijzen gelekt? Dan kan iemand te maken krijgen met identiteitsfraude. Jaarlijks ontvangt het Centraal Meldpunt Identiteitsfraude (CMI) zo’n 7.000 meldingen van identiteitsfraude.

Toezicht AP op waarschuwingsberichten

Om dit soort schadelijke gevolgen te voorkomen, is het heel belangrijk dat u de slachtoffers van een datalek goed informeert. Doet u dat niet? Dan kan dat ook uw organisatie flinke (reputatie)schade opleveren. Bovendien controleert de Autoriteit Persoonsgegevens (AP) regelmatig of en hoe organisaties slachtoffers informeren.

8 aanbevelingen voor goede waarschuwingsberichten

Wilt u een goed waarschuwingsbericht versturen, let dan op deze 8 punten:

  1. Communiceer zo snel mogelijk met de slachtoffers
  2. Schrijf een simpele en heldere tekst
  3. Beschrijf duidelijk en volledig wat er is gebeurd
  4. Geef duidelijk aan welke gegevens zijn gelekt
  5. Noem de waarschijnlijke gevolgen voor slachtoffers
  6. Geef waar mogelijk een specifiek advies aan slachtoffers
  7. Beschrijf welke maatregelen uw organisatie neemt
  8. Noem een contactpunt waar slachtoffers terechtkunnen met vragen

Hierna vindt u uitleg en voorbeelden.

1. Communiceer zo snel mogelijk met de slachtoffers

Laat slachtoffers zonder onnodige vertraging weten wat er is gebeurd. Als iemands gegevens zijn gelekt, kunnen die snel in verkeerde handen komen. Voorkom vervelende gevolgen als oplichtingen breng slachtoffers zo snel mogelijk op de hoogte. Alleen dan kunnen zij ook zelf actie ondernemen.

Bent u het datalek nog aan het onderzoeken? En heeft u daardoor nog niet alle informatie? Stuur dan eerst een voorlopig waarschuwingsbericht. Slachtoffers weten dan dat er iets is gebeurd en kunnen alert zijn op misbruik van hun gegevens. Zodra u meer weet over het datalek, informeert u hen verder.

2. Schrijf een simpele en heldere tekst

Zorg dat het waarschuwingsbericht begrijpelijk is voor iedereen. Gebruik bijvoorbeeld:

  • zinnen van gemiddeld 10 woorden en maximaal 15 woorden;
  • weinig moeilijke woorden, en leg moeilijke woorden die u niet kunt vermijden uit;
  • duidelijke tussenkoppen;
  • genoeg witruimte;
  • opsommingen in plaats van lange zinnen;
  • de taal van het land waar de slachtoffers wonen.

Vermijd vaktaal en geef direct de belangrijkste informatie in een duidelijk intro. Vertel meteen dat er een datalek is geweest. En dat de persoonsgegevens van de lezer zijn getroffen.

Deel een lange zin bijvoorbeeld op in meerdere zinnen.

Veel slachtoffers kennen technische termen als ‘(spear)phishing’ niet. Gebruik zo min mogelijk van dit soort termen. Heeft u echt geen alternatief voor zo’n term? Leg de term dan goed uit.

Het is belangrijk dat slachtoffers uw waarschuwingsbericht snel openen en goed lezen. Zet daarom een alarmerende titel in de onderwerpsregel.

3. Beschrijf duidelijk en volledig wat er is gebeurd

Vertel in het waarschuwingsbericht om wat voor datalek het gaat. Bijvoorbeeld een ransomware-aanval, phishing of een verkeerd verzonden brief. 

Is er nog onduidelijkheid over wat er is gebeurd? Geef dit dan ook aan. En vermeld wanneer u de slachtoffers meer informatie geeft. Bijvoorbeeld zodra het onderzoek naar het datalek klaar is. Geef ook aan of de gegevens in handen zijn gekomen van onbevoegden, verloren zijn of dat u niet meer bij de gegevens kunt.

In deze tekst wordt niet duidelijk gemaakt om wat voor type datalek het gaat en wat er precies is gebeurd.

4. Geef duidelijk aan welke gegevens zijn gelekt

Wees zo specifiek mogelijk over welke gegevens zijn gelekt (bijvoorbeeld: naam en adres). Noem niet alleen de categorieën (bijvoorbeeld: NAW-gegevens). Woorden als ‘bijvoorbeeld’ of ‘zoals’ kunnen verwarring opleveren bij de slachtoffers.

Zijn er verschillen in welke gegevens van mensen zijn gelekt? Breng dan zo snel mogelijk in kaart voor welke slachtoffers welke situatie geldt. En stel voor hen verschillende waarschuwingsberichten op.

Weet u niet zeker welke gegevens zijn gelekt? Geef dan aan waarom dat onduidelijk is. En wanneer u slachtoffers daar meer informatie over kunt geven.

5. Noem de waarschijnlijke gevolgen voor slachtoffers

Datalekken kunnen leiden tot misbruik van gegevens. Bijvoorbeeld met phishing. Zijn er waarschijnlijk gevolgen voor slachtoffers? Dan moet u hun vertellen welke. En hoe zij zichzelf kunnen beschermen.

 

Geef antwoord op deze vragen:

  • Is er een risico op immateriële schade? Zoals reputatieschade, of uitsluiting? Of is er een risico op lichamelijke of materiële (financiële) schade?
  • Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? En zo ja, is er een risico op phishing of identiteitsfraude?
  • Zijn de persoonsgegevens inmiddels teruggestuurd aan u of vernietigd door de partij die de gegevens onterecht heeft ontvangen?
  • Zijn er contactgegevens gelekt? En zo ja, hoe kunnen criminelen die gegevens gebruiken?

Als er wachtwoorden zijn gelekt, kunnen criminelen inloggen op andere sites waar slachtoffers hetzelfde wachtwoord gebruiken. Leg uit dat het veiliger is om verschillende wachtwoorden te gebruiken. En laat mensen hun wachtwoord voor uw website of klantomgeving veranderen.

Als er kopieën van identiteitsbewijzen zijn gelekt, is er een risico op identiteitsfraude. Leg in dat geval duidelijk uit wat identiteitsfraude is. En wat iemand kan doen.

6. Geef waar mogelijk een specifiek advies aan slachtoffers

Levert een datalek een onmiddellijk risico op? Geef slachtoffers dan een duidelijk en passend advies over hoe zij zichzelf kunnen beschermen. Welk advies dat is, hangt af van de situatie. Slachtoffers kunnen ook kijken bij: Slachtoffer van een datalek? Dit kunt u doen.

Wees zo duidelijk en concreet mogelijk. Een algemene waarschuwing voor phishing is niet genoeg. Vertel slachtoffers hoe zij verdachte berichten kunnen herkennen. En wat ze absoluut niet moeten doen.

Zijn er bij het datalek wachtwoorden gelekt? Dan moeten mensen hun wachtwoord aanpassen op elke website waar ze dit wachtwoord gebruiken.

Zijn er bij het datalek volledige kopieën van identiteitsbewijzen gelekt? Dat betekent: waarbij alle gegevens zichtbaar waren, zoals het BSN en de pasfoto? En was er sprake van een cyberincident? Dan moeten slachtoffers dit aangeven bij hun gemeente, om identiteitsfraude te voorkomen.

De AP raadt aan om in het waarschuwingsbericht te verwijzen naar:

7. Beschrijf welke maatregelen uw organisatie neemt

U moet slachtoffers laten weten welke maatregelen u neemt om het datalek te dichten én om toekomstige datalekken te voorkomen.

Vermeld niet alleen dat er maatregelen zijn getroffen, maar ook welke maatregelen. Gaat het om technische maatregelen? Leg die in simpele en heldere taal uit. Heeft u externe partijen om advies gevraagd? Vertel dan ook wat dat advies inhoudt.

8. Noem een contactpunt waar slachtoffers terecht kunnen met vragen

Een waarschuwingsbericht kan veel vragen oproepen. Beantwoord daarom zoveel mogelijk vragen al in uw waarschuwingsbericht. En geef aan hoe slachtoffers contact kunnen opnemen met uw organisatie. Bijvoorbeeld via uw functionaris gegevensbescherming (FG).

Op deze pagina